[lacnog] IPSet en Cisco?

Manuel José Linares Alvaro cheche en udg.co.cu
Jue Abr 5 11:29:15 BRT 2018


Gracias, muy buena solución la que me propone. Honestamente no se si la IOS del 2911 tiene o no ACE, revisaré. De ser de ese modo, la solución que me propone es muy buena.

Jorge proponía usar URLs en vez de direcciones IP, y evidentemente tiene razón, sin embargo, he pensado que ante todo no veo el modo de hacerlo en cisco, y además, las redes sociales tienen muchos dominios que no son los propios de las URL, Facebook, por solo citar un ejemplo, así que vendría siendo mas o menos lo mismo que usar IPs.

 

De: LACNOG [mailto:lacnog-bounces en lacnic.net] En nombre de Jose Luis Gaspoz
Enviado el: jueves, 5 de abril de 2018 08:27
Para: lacnog en lacnic.net
Asunto: Re: [lacnog] IPSet en Cisco?

 

Manuel:

 

Si tenes IOS mas o menos nuevas con ACE (Aplication Control Engine) podrías hacer un class-map con control en capa 7 y establecer la politica de NAT (no se que equipo tenes y tu ancho de banda, pero con cuidado porque la inspeccion en capa 7 consume recursos).

 

Sería algo así (obvio esto es solo la estructura para trafico a Facebook, deberias integrar toda tu politica de Nat ).... acá el ejemplo con trafico entrante en Fast 0/0 y saliente en Fast 0/1

 

 

class-map match-any WEB-FACEBOOK

   match protocol http url "*facebook*"

 

 

policy-map multi-match NAT-FACEBOOK

   class WEB-FACEBOOK

     nat dynamic 1 fastethernet 0/1

 

 

interface FastEthernet 0/0

  ip address 192.168.1.100 255.255.255.0

  service-policy input NAT-FACEBOOK

 

interface FastEthernet 0/1

  ip address 172.27.16.2 255.255.255.0

  nat-pool 1 172.27.16.15 172.27.16.24 netmask 255.255.255.0 pat

 

 

Y si querés le podes aplicar a la misma clase en la política una limitación de ancho de banda a ese tráfico (esto depende de la plataforma que tengas, por ahí no podes poner una politica de cir y tenes que hacer un shape)

 

policy-map multi-match NAT-FACEBOOK

   class WEB-FACEBOOK

     nat dynamic 1 fastethernet 0/1

     police cir 800000 pir 836000  conform-action transmit  exceed-action drop

 

 

Ing. Jose Luis Gaspoz
Internet Services S.A.
Tel: 0342-4565118
Cel: 342-5008523

 

From: Alejandro Acosta <mailto:alejandroacostaalamo en gmail.com>  

Sent: Wednesday, April 04, 2018 10:39 AM

To: lacnog en lacnic.net <mailto:lacnog en lacnic.net>  

Subject: Re: [lacnog] IPSet en Cisco?

 

Hola Manuel,

  Voy a atreverme a responder, pero antes tengo que decir que quizás existan cosas más modernas. 

  En base a lo que dices, suena tan sencillo como tener un ACL (con nombre) y luego asociar eso a una sola directiva de NAT.

  Te refieres a eso, no?. En tu caso quedaría algo como:

access-list 150 remark NAT-FACEBOOK
access-list 150 permit ip 10.25.62.0 0.0.0.255 188.64.226.0 0.0.0.255
access-list 150 permit ip 10.25.62.0 0.0.0.255 209.237.219.0 0.0.0.255
access-list 150 permit ip 10.25.62.0 0.0.0.255 157.240.14.0 0.0.0.255

ip nat pool FB 200.14.53.3 200.14.53.3 prefix-length 32
ip nat inside source list 150 pool Parmalat overload

 

Saludos,

 

 

Alejandro,

 

 

El 4/4/18 a las 8:56 a. m., Manuel José Linares Alvaro escribió:

Gracias por responder Rogerio.

 

Me explico mejor.

En varias distribuciones de Linux, con IPTables puedo hacer un NAT muy  fácilmente.

 

Supongamos que deseo hacer un nat solamente con destino a las direcciones de Facebook:

 

Para ello, si tuviera un soft router usaría ipset para incluir todas las direcciones de destino en un solo pool:

 

1-      <!--[if !supportLists]--><!--[endif]-->Creo el pool allow-facebook-nets

# ipset create allow-facebook-nets hash:net

 

2-      <!--[if !supportLists]--><!--[endif]-->Agrego al pool allow-facebook-net, las direcciones de destino, en este caso las de facebook:

# add allow-facebook-nets 188.64.226.0/24

# add allow-facebook-nets 209.237.219.0/24

# add allow-facebook-nets 157.240.14.0/24

……………

 

3-      <!--[if !supportLists]--><!--[endif]-->Luego es sencillo hacer un nat desde un bloque o una ip determinada, con destino al pool allow-facebook-net

 

# iptables -t nat -A POSTROUTING -s 10.25.62.0/24 -m set --match-set allow-facebook-nets dst -o bond0.200 -j SNAT --to 200.14.53.3

 

De esta forma agrupo en solo una regla, todo lo que vaya con destino a cualquiera de las direcciones de facebook. De lo contrario, tendría que poner en mi IPTables cientos de reglas, solución impensable.

 

Esto es un ejemplo bastante incompleto…

 

Ahora quiero hacer algo similiar, ante la posibilidad de reemplazar un router-firewall que tengo sobre fedora-core, por un cisco 2911. Por eso pregunto que si en Cisco IOS puedo hacer algo similiar.

 

Saludos,

 

MAnuel

 

De: LACNOG [mailto:lacnog-bounces en lacnic.net] En nombre de Rogerio Mariano
Enviado el: miércoles, 4 de abril de 2018 08:36
Para: Latin America and Caribbean Region Network Operators Group
Asunto: Re: [lacnog] IPSet en Cisco?

 

Hola Jorge,

 

Tal vez su sugerencia sea el camino más fácil.

 

Ejemplo de una traducción que tiene en el IPTables para un NAT tradicional

 

 

-A POSTROUTING -s 10.5.10.41/32 <http://10.5.10.41/32>  -d ! 10.5.0.0/16 <http://10.5.0.0/16>  -j SNAT --to-source xx.yy.124.161 (sanitised public address)

 

Lo traduje como "Para paquetes con una dirección de origen de 10.5.10.41 y una dirección de destino fuera del rango 10.5.0.0/16 <http://10.5.0.0/16> , luego traduzco la dirección de destino a xx.yy.124.161

 

Sobre esa base, creé la siguiente configuración

 

ip access-list extended lacnog1

 

deny ip host 10.5.10.41 10.5.0.0 0.0.255.255

 

remark denies traffic source 10.5.10.41 dest 10.5.0.0 0.0.255.255

 

permit ip host 10.5.10.41 any

 

remark permits traffic source 10.5.10.41 to any

 

ip nat pool natpool1 xx.yy.124.161 xx.yy.124.161 netmask 255.255.255.252

 

ip nat inside source list lacnog1 pool natpool1

 

 

Un abrazo,

 

Rogerio Mariano

 

2018-04-04 8:59 GMT-03:00 Jorge Villa <villa en reduniv.edu.cu <mailto:villa en reduniv.edu.cu> >:

Hermano, como estas?

 

No se si entiendo bien lo que quieres hacer, pero bueno, te hago un par de comentarios.

 

Esta variante de usar objetos (que explica José Luis) está disponible en Cisco, a partir de IOS 12.4(20)T. Es bastante más flexible para algunas cosas que el uso de las tradicionales ACL, aunque como tu caso es únicamente con NAT, creando las combinaciones y criterios adecuados en una ACL, en teoría, puedes solucionarlo sin mayores complicaciones. 

 

De todos modos, en mi opinión, la mejor manera de hacer esto es basado en dominios y no en IP; ya que cualquier red social emplea múltiples direcciones IP (acorde a su arquitectura, hosting, balanceadores de carga, etc., etc., etc.) y no tienes control sobre esto. Así que me parece no te va a ser muy efectivo, en la forma en que lo que estás queriendo hacer. 

 

Saludos,

Jorge

 

De: LACNOG <lacnog-bounces en lacnic.net <mailto:lacnog-bounces en lacnic.net> > en nombre de Jose Luis Gaspoz <gaspozj en is.com.ar <mailto:gaspozj en is.com.ar> >
Responder a: Jose Luis Gaspoz <gaspozj en is.com.ar <mailto:gaspozj en is.com.ar> >, Latin America and Caribbean Region Network Operators Group <lacnog en lacnic.net <mailto:lacnog en lacnic.net> >
Fecha: miércoles, 4 de abril de 2018, 7:39 AM
Para: Manuel José Linares Alvaro <cheche en udg.co.cu <mailto:cheche en udg.co.cu> >, Latin America and Caribbean Region Network Operators Group <lacnog en lacnic.net <mailto:lacnog en lacnic.net> >
Asunto: Re: [lacnog] IPSet en Cisco?

 

Manuel:

 

No se si te réferis a esto, se pueden crear objetos de Network y si queres también crear grupos de objetos de network .  

 

También podes crear objetos de servicios y grupo de objetos de servicios...

 

Ejemplo:

 

object network NAGIOS

host 172.16.1.5

 

object-group network HOST-PARA-ALGO

network-object subnet 192.168.206.0 255.255.255.0

network-object host 172.20.1.97

network-object host NAGIOS

 

 

Y en los servicios:

object-group service SERVICIOS-PARA-ALGO tcp

port-object eq 1433

port-object eq www

 

o agrupar objetos de servicios en un objeto de grupo de servicios:

 

object-group service GRUPO_DE_SERVICIOS

service-object object obj-udp-des-12000 

service-object object obj-udp-des-12001 

service-object object obj-udp-des-12002 

service-object object obj-udp-des-12003 

service-object object obj-udp-des-12004 

 

 

Podes definir objetos para origenes o destinos:

 

object service obj-tcp-source-range-1025-65535-eq-80

service tcp source any destination eq www 

 

 

Y después lo ocupas donde quieras (NAT, policies routing, filtros, inspecciones, ACLs). Acá depende de que equipo sea (router, ISR, ASA, etc) va a ser la estructura:

 

EJ (no estan los ejemplos de los obj, pero te muestro la estructura):

 

nat (Router,outside) source dynamic obj-172.16.0.0 obj-10.71.176.163 destination static EMULACION1 EMULACION1 service obj-tcp-source-range-1025-65535-eq-992 obj-tcp-eq-992

 

Saludos

 

Ing. Jose Luis Gaspoz
Internet Services S.A.
Tel: 0342-4565118
Cel: 342-5008523

 

From: Manuel José Linares Alvaro <mailto:cheche en udg.co.cu>  

Sent: Tuesday, April 03, 2018 10:39 PM

To: Latin America and Caribbean Region Network Operators Group <mailto:lacnog en lacnic.net>  

Subject: [lacnog] IPSet en Cisco?

 

hola colegas !!

 

Una consulta sobre Cisco:

 

En la mayoría de las distribuciones de linux existe el ipset, servicio que permite hacer un agregado de direcciones IP, lo cual facilita luego en firewalls como iptables, referirse mediante un solo nombre, a todo un conjunto de direcciones, redes, etc.

 

Quisiera hacer algo similar en Cisco, para poder hacer un NAT desde mi red interna a redes sociales.

 

Repito que en un router / firewall con linux es simple combinando ipset con iptables, ahora como implementarlo en cisco? pues no veo nada por el estilo a ipset.

 

Gracias,

 

Manuel.


* * * * *
Universidad de Granma, Bayamo. M.N. <http://www.udg.co.cu> 

Imagen del Satélite. <http://gestion.udg.co.cu/mrtg/weather/map/today-Bayamo-CUXX0001.jpg>  

 


 <http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient> 

Libre de virus.  <http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient> www.avg.com 

 


  _____  


_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net <mailto:LACNOG en lacnic.net> 
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog

_______________________________________________ LACNOG mailing list LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>  https://mail.lacnic.net/mailman/listinfo/lacnog Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog 


_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net <mailto:LACNOG en lacnic.net> 
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog

 


* * * * *
Universidad de Granma, Bayamo. M.N. <http://www.udg.co.cu> 

Imagen del Satélite. <http://gestion.udg.co.cu/mrtg/weather/map/today-Bayamo-CUXX0001.jpg>  





_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net <mailto:LACNOG en lacnic.net> 
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog

 

  _____  

_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net <mailto:LACNOG en lacnic.net> 
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog




*  *  *  *  *

Universidad de Granma

 http://www.udg.co.cu



Tiempo:

 http://gestion.udg.co.cu/mrtg/weather/map/today-Bayamo-CUXX0001.jpg

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20180405/29631cdb/attachment-0001.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: image001.jpg
Type: image/jpeg
Size: 350 bytes
Desc: no disponible
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20180405/29631cdb/attachment-0001.jpg>


Más información sobre la lista de distribución LACNOG